Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2x DSL, VPN u. Proxy trennen

Hallo Forengemeinde!

Wir haben eine ASG220 auf der u.a. 3 permantente VPN-Tunnel und ein Proxy mit einer SDSL 2000 Leitung konfiguriert sind.

Da der Internet- und VPN-Verkehr sehr langsam geworden ist, wollte ich die vorhandene ADSL-Leitung zusätzlich nutzen. Wie regele ich das am elegantesten? 

Link Aggregation - bin ich mir nicht sicher ob das bei unterschiedlichen Leitungsarten richtig funktioniert.

Oder, wenn ich über die SDSL nur die VPN-Tunnel laufen lasse und über ADSL den Proxy, weis ich nicht, wie ich das auf der ASG sauber trennen soll. Kann ich das über eine Policy regeln oder kann ich der Netzwerkkarte die über ADSL nach draußen telefoniert eine weitere interne IP zuweisen über den Punkt "Additional Adresses", aber dann weis die Astaro immer noch nicht, dass das die für das Websurfing via Proxy sein soll und die andere, die zurzeit Standard-GW ist, für die VPN-Tunnel ist.

Klar, kann ich in Windows nur ein Standardgateway einstellen, das würde dann den VPN-Tunneln dienen und das Interface, welches über ADSL rausgeht, sollte über eine eigene LAN-IP angesprochen werden, welche in den Browsern als Proxy angegeben wird.

Was kann ich machen?

Vielen Dank im Voraus!

Gruß, Andreas


This thread was automatically locked due to age.
Parents
  • Hallo!

    Ich hab das bei mir nun so geregelt:

    Uplink Balancing aktiviert
    Das SDSL Interface als erstes gesetzt
    Das ADSL Interface als zweites

    In der Registerkarte Multipath Rules folgendes eingestellt:
    Neue Multipath Regel:

    Source:      Internal (Network)
    Service:     Web Surfing
    Destination: Any

    Persistance: by Interface
    Bind Interface: ADSL

    Für FTP habe ich das gleiche gemacht.

    Scheint bislang bestens zu funktionieren.

    Gruss
    Ingo
  • Hallo!

    Das ist gut so, aber dann hast du in deinem Szenario keine Proxyfunktion, oder?

    Den Proxy benötige ich nämlich zwingend, sonst kann ja jeder hier rumsurfen wo und wann er will.

    Danke und Gruß,
    Kunibert
  • Doch, es geht über den Proxy raus. 
    Ich habe unter Wie ist meine IP-Adresse? geschaut mit welcher IP ich rausgehe und dann auf eicar den Testvirus getestet. Hat Astaro erfolgreich geblockt.
    Im letzten Webinar wurde extra nochmal darauf hingewiesen, dass keine zusätzliche Konfiguration nötig ist. Der Proxy merkt das, wenn Multipath Routing aktiviert ist.

    Gruss
    Ingo
  • Eins hab ich noch vergessen.
    Wenn der FTP Proxy eingeschaltet ist, scheint das nicht zu funktionieren.
    Dann geht´s über die SDSL Leitung raus, obwohl eine Regel aktiv ist, die FTP über die ADSL Leitung routen soll. 
    Wenn ich den FTP Proxy ausschalte geht´s über die ADSL Leitung raus.

    Etwas merkwürdiges hatte ich auch noch:
    Ich habe eine ASG 320. Sobald ich ein weiteres Interface aktiviert habe und zum Multipath Routing hinzugefügt habe, ging die CPU Last für 2 Minuten auf 100% und die ASG war nicht ansprechbar...
Reply
  • Eins hab ich noch vergessen.
    Wenn der FTP Proxy eingeschaltet ist, scheint das nicht zu funktionieren.
    Dann geht´s über die SDSL Leitung raus, obwohl eine Regel aktiv ist, die FTP über die ADSL Leitung routen soll. 
    Wenn ich den FTP Proxy ausschalte geht´s über die ADSL Leitung raus.

    Etwas merkwürdiges hatte ich auch noch:
    Ich habe eine ASG 320. Sobald ich ein weiteres Interface aktiviert habe und zum Multipath Routing hinzugefügt habe, ging die CPU Last für 2 Minuten auf 100% und die ASG war nicht ansprechbar...
Children
  • Hallo!
    Ich hab's so eingerichtet wie geschrieben und funktioniert einwandfrei. Habe auch den Test mit der IP gemacht und während der RDP Session das ADSL Interface mal deaktiviert - läuft.

    Ich wusste einfach nicht, das der Proxy das Multipathing und seine Regeln registriert. Gut zu wissen.

    Das mit der CPU-Auslastung kann ich nich bestätigen, allerdings das mit dem FTP, aber das stört mich nicht weiter, weil ich das nicht so oft nutze, wahrscheinlich muss da noch irgendwo ein Häckchen gesetzt werden...

    Jetzt hoffe ich nur noch, das die Niederlassungen das auch spüren, sonst bleibt wohl doch nur noch der Company Connect Anschluss der Telekom, weil höhere Bandbreiten sind bei uns nicht möglich und können auch nicht garantiert werden.

    Danke dir!
    Gruß, Andreas
  • Moin Moin,

    heute morgen musste ich feststellen, das die Emails via SMTP nicht rausgingen. Nach kurzer recherche fand ich heraus, das zum 1. der SMTP Proxy aktiviert worden ist und zum 2. in den Interface Einstellungen für ADSL das Default GW gesetzt wurde. 

    Den SMTP Proxy brauche ich nicht und wurde von mir auch nicht aktiviert und als ich dann noch den Haken bei Default Gateway rausnahm funktionierte der Versand wieder.

    Allerdings habe ich über wieistmeineip.de nochmals den Test gemacht und jetzt erscheint nur noch die IP des SDSL Interface.

    Was ist schief gelaufen bzw. muss noch eingestellt werden.

    Ich habe zwischenzeitlich auch noch eine Multipath Regel für SMTP für über das ADSL Interface erstellt.

    Vielen Dank im Voraus für nützliche Tipps!

    Gruß, Kunibert
  • Ich habe auch noch ein kleines Problem festgestellt, welches aber scheinbar nur im HA (active/passive) auftritt.
    Ich habe das Problem hier mal beschrieben, da der Astaro Support mir da nicht weiterhelfen will und mich ans Forum verwiesen hat.

    Es sind 2 Leitungen angeschlossen. Eine SDSL und eine ADSL. Die ADSL Leitung habe ich zuerst wie folgt angeschlossen: DSL Modem an einen Switch angeschlossen, dann jeweils die Interfaces eth5 von den beiden ASG an den Switch angeschlossen.
    PPPoe Einwahl konfiguriert, Uplink Balancing eingeschaltet, Multipath Routing aktiviert (HTTP soll über ADSL, eth5 rausgehen).
    Bis dahin lief alles problemlos. Ich konnte mit meinem PC problemlos über die ADSL Leitung surfen. Andere PC´s im Netz jedoch sind weiterhin über die SDSL Leitung rausgegangen.
    Dann ist mir aufgefallen, dass scheinbar ein Load Balancing zwischen den beiden ASG gefahren wird.
    Im Live Log: Content Filter (HTTP/S) sehe ich, dass die HTTP Verbindung zwischen mail-1 und mail-2 aufgeteilt werden. Die Verbindungen, die über mail-2 gehen, sind sehr langsam (sehr langsames surfen).
    Nun habe ich die beiden ADSL Interfaces, eth5, an eine Fritzbox angeschlossen und die eth5 Konfiguration entsprechend geändert (Ethernet, Fritzbox als Default GW eingetragen).
    Das Problem besteht immer noch.
    Im Log sehe ich weiterhin, dass scheinbar Load Balancing zwischen den beiden ASG gefahren. In dem Moment, wo die Slave Box neu starte, wird nur noch über die mail-1 rausgegangen und alles läuft schnell und problemlos.

    Das ist mir nun aufgefallen, ich weiss nicht ob es seit der 7.500 so ist. Ich habe das Multipath Routing mit der 7.405 eingerichtet, da habe ich daruaf aber noch nicht geachtet.

    Gruss
  • Hallo atctv

    >>  das die Emails via SMTP nicht rausgingen
    heist "nicht rausgingen", dass dein interner Mailserver keine Mails versenden konnte? oder dass die Mails im ASG SMTP Proxy hängenblieen (mail spool) ?

    >> Nach kurzer recherche fand ich heraus, das zum 1. der SMTP Proxy aktiviert worden ist 

    also das ist seltsam, so etwas habe ich noch nie gehört. das erklärt natürlich dann auch, warum deine mails nicht rausgingen - wenn der Proxy einfach nur eingeschaltet wird, dann aber nicht konfiguriert wird, wird der SMTP Proxy keinerlei Mails - weder von innen noch von aussen - annhemen.

    Es ist jedenflls nich normal, dass bei Aktivieren von Multipath der SMTP Proxy aktiviert wird. im confd-Logfile könnte man evtl. nochmal nachvollziehen, zu welchem Zeitpunkt EXAKT der SMTP Proxy aktiviert wurde.


    >>2. in den Interface Einstellungen für ADSL das Default GW gesetzt wurde. 

    Das ist völlig korrekt und MUSS auch so sein, damit Uplink Balancing/Multipathing funktioniert (woher soll die ASG sonst wissen, über welches Gateway sie Traffic raussenden soll).


    >>Allerdings habe ich über wieistmeineip.de nochmals den Test gemacht und jetzt erscheint nur noch die IP des SDSL Interface.

    ja klar, die ASG wird nur noch über die erste Leitung vesenden, da dur ihr ja das default GW auf der zweiten Leitung "wegenommen" hast


    >>Ich habe zwischenzeitlich auch noch eine Multipath Regel für SMTP für über das ADSL Interface erstellt.

    sei vorsichtig mit SMTP über ADSL Leitungen. Es ist kein Problem, HTTP Traffic über eine zweite "billig"-ADSL-Leitung zu schicken, das funktioniert wunderbar (bitte aber NUR Multipath-Regeln mit Persistence=INTERFACE oder SOURCE machen, nicht mit DESTINATION oder CONNECTION, das wird Probleme geben).
    Wenn du aber deine SMTP Mails ausgehend über eine ADSL Leitung schickst, die vielleicht eine billig-flatrate-hom-user-T-Online/Arcor/Alice/versatel/wasweissich Leitung ist, kann es sein, dass deine Mails zwar von deiner seite aus korrekt über diese Leitung versendet werden, sie aber von der Gegenseite nicht angenommen werden - weil diese deine Pool-IP-Adresse geblockt haben (das entsprechende Feature in der ASG ist "block dialUp networks") oder sonsige Spam-Erkennungsmassnahmen zuschlagen.


    viel erfolg!
  • >>Dann ist mir aufgefallen, dass scheinbar ein Load Balancing zwischen den beiden ASG gefahren wird.
    bist du sicher, dass du nur eine active/passive HA hast und kein active/active Cluster? gib doch mal auf der commandline den Befehl "ha_utils status" ein und paste hier, was das Ergebnis ist.
    Ausserdem bitte auch den Output vom Befehl "cc get_license_info" (du kannst deinen Lizenzkey und persönliche Infos ja aus-x-en)

    >>Im Live Log: Content Filter (HTTP/S) sehe ich, dass die HTTP Verbindung zwischen mail-1 und mail-2 aufgeteilt werden. Die Verbindungen, die über mail-2 gehen, sind sehr langsam (sehr langsames surfen).

    mail-1 und mail-2, sind das die namen deiner beiden ASGs?
    das würde noch mehr drauf hinweisen, dass dein System sich irgendwie verhält wie ein active-active-System, das nicht richtig funktioniert.
  • Hallo!

    - Wenn ich Uplink Balancing aktiviere, können an keinem Client Emails versendet werden, jedoch empfangen, ohne geht beides.
    - Der Email Provider ist ein anderer als der ISP.
    - Wir haben keinen internen Mailserver, die Mails werden direkt vom Provider (DomainFactory) abgeholt.
    - MS Outlook: pop.firma.de, smtp.firma.de, Postausgangsserver erfordert authentifizierung aktiviert.
    - Multipathrules sind alle persistence by interface
    - Okay, den Tipp mit dem SMTP via 2. ADSL werde ich beachten, ich werde die Regel, wenn ich sie denn überhaupt benötige an dieser Stelle, auf SDSL umleiten, ansonsten habe ich nur die Regel für HTTP.

    Die SDSL hat eine fixe IP, die ADSL nicht und ist eine "billig"-Leitung. Die VPN-Verbindungen funktionieren doch auch, warum der SMTP Versand nicht, obwohl ich eine Paketfilterregel dafür definiert habe, schon immer (LAN -> SMTP -> Any)

    Die Fehlermeldung kommt von Outlook, das er den smtp.firma.de nicht gefunden hat. Das Timeout steht auf 1 Minute, aber an Outlook dürfte es ja wohl nicht liegen, weil es funktioniert ja ohne Uplink Balancing. Den SMTP anpingen kann ich auch und wird auch aufgelöst bei Uplink Balancing.

    Vielen Dank im Voraus!
    Gruß, Andreas
  • >>Die SDSL hat eine fixe IP, die ADSL nicht und ist eine "billig"-Leitung. Die VPN-Verbindungen funktionieren doch auch, warum der SMTP Versand nicht, obwohl ich eine Paketfilterregel dafür definiert habe, schon immer (LAN -> SMTP -> Any)

    es liegt nicht an der Paketfilterregel - das Log zeigt ja auch "grün" an dass Firewallmässig alles passt - sondern mit großer Wahrescheinlichkeit  stört sich der Mailserver daran, wenn du von der ADSL-Leitung mit der dynamschen IP auf ihn zugreifen willst.

    >> - Okay, den Tipp mit dem SMTP via 2. ADSL werde ich beachten, ich werde die Regel, wenn ich sie denn überhaupt benötige an dieser Stelle, auf SDSL umleiten

    Hast du das schon mal gemacht? ich tippe drauf, dass das dein Problem schon löst. also im Detail: mach eine Multipathrule mit:
    src=LAN  dest=ANY  service=SMTP  persistence=by Interface  IF=SDSL)

    Probiers mal aus.

    Wenns dann immer noch nicht funzt würde ich mal mit tcpdump mitsniffen um zu sehen, was für SMTP Pakete zwischen ASG und Provider-Server übertragen werden.